公開日:2022/06/21 最終更新日:2022/06/21

JVNVU#90813938
複数のAutomationDirect製品における複数の脆弱性

概要

AutomationDirect社が提供する複数の製品には、複数の脆弱性が存在します。

影響を受けるシステム

CVE-2022-2005、CVE-2022-2006

  • ファームウェアまたはソフトウェアバージョン6.73より前の以下の型番のC-more EA9
    • EA9-T6CL
    • EA9-T6CL-R
    • EA9-T7CL
    • EA9-T7CL-R
    • EA9-T8CL
    • EA9-T10CL
    • EA9-T10WCL
    • EA9-T12CL
    • EA9-T15CL
    • EA9-T15CL-R
    • EA9-RHMI
    • EA9-PGMSW
CVE-2022-2003
  • H0-ECOMおよびH0-ECOM100を除くファームウェアバージョン2.72より前の以下のD0-06シリーズを使用する製品
    • D0-06DD1
    • D0-06DD2
    • D0-06DR
    • D0-06DA
    • D0-06AR
    • D0-06AA
    • D0-06DD1-D
    • D0-06DD2-D
    • D0-06DR-D
    • D0-06DD2-D
    • D0-06DR-D
  • ファームウェアバージョン2.72より前の以下のD0-06シリーズを使用するH0-ECOMおよびH0-ECOM100
    • D0-06DD1
    • D0-06DD2
    • D0-06DR
    • D0-06DA
    • D0-06AR
    • D0-06AA
    • D0-06DD1-D
    • D0-06DD2-D
    • D0-06DR-D
CVE-2022-2004
  • ファームウェアバージョン2.72より前の以下のD0-06シリーズCPUを使用するH0-ECOMおよびH0-ECOM100
    • D0-06DD1
    • D0-06DD2
    • D0-06DR
    • D0-06DA
    • D0-06AR
    • D0-06AA
    • D0-06DD1-D
    • D0-06DD2-D
    • D0-06DR-D

詳細情報

AutomationDirect社が提供する複数の製品には、複数の脆弱性が存在します。

  • ファイル検索パスの制御不備 (CWE-427) - CVE-2022-2006
  • 重要な情報の平文送信 (CWE-319) - CVE-2022-2005、CVE-2022-2003
  • 無制限なリソース消費 (CWE-400) - CVE-2022-2004

想定される影響

脆弱性を悪用された場合、次のような影響を受ける可能性があります。

  • ローカルの第三者によって、インストールプロセス中に細工したDLLファイルを読み込ませ、コードを実行される - CVE-2022-2006
  • 遠隔の第三者によって、平文送信された資格情報を窃取される - CVE-2022-2005
  • 遠隔またはローカルの第三者によって、平文送信されたパスワードを窃取される - CVE-2022-2003
  • 遠隔の第三者によって細工されたパケットによって、サービス拒否(DoS)状態にされる - CVE-2022-2004

対策方法

CVE-2022-2003、CVE-2022-2005、CVE-2022-2006
アップデートする
開発者は、アップデートを提供しています。

CVE-2022-2004
ワークアラウンドを実施する
開発者は、ワークアラウンドの適用を推奨しています。

詳細は、開発者が提供する情報をご確認ください。

参考情報

  1. ICS Advisory (ICSA-22-167-01)
    AutomationDirect C-More EA9 HMI
  2. ICS Advisory (ICSA-22-167-02)
    AutomationDirect DirectLOGIC with Serial Communication
  3. ICS Advisory (ICSA-22-167-03)
    AutomationDirect DirectLOGIC with Ethernet

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia